Webアプリケーション診断

Webアプリケーション
診断とは?

攻撃者の視点から実際に疑似的な攻撃を行うことにより、
一般的なWebアプリケーションの脆弱性から、システム固有の脆弱性まで
総合的に診断するセキュリティ調査です。

Webアプリケーション診断イメージ

ネオセキュリティのWebアプリケーション診断は、
高度なスキルを有するセキュリティ専門家が一気通貫でサポート!

診断計画支援→診断実施→報告会→改善支援

プラン一覧

実施項目や規模によって、さまざまなプランをご用意しています。
初めての診断などには、内容検討からお任せいただける
「おまかせ」プランがオススメです。

おまかせ

個別相談

診断内容は専門家に
任せたい企業様に

ツール診断
手動診断
報告書
報告会
再診断
オプション
こんな方におすすめ
  • 診断内容は専門家に任せたい。
  • 予算に合わせて最適なプランを提案してほしい。

ライト

15万円~

スピーディーな診断を
ご希望される場合に

ツール診断
手動診断
報告書
報告会
オプション
再診断
オプション
こんな方におすすめ
  • 短期間で診断を完了したい。
  • 低コストな診断を探している。

スタンダード

30万円~

ツール診断+手動診断で
診断を実施したい場合に

ツール診断
手動診断
報告書
報告会
再診断
オプション
こんな方におすすめ
  • ツールと手動を組み合わせてしっかりとテストしてほしい。
  • PCIDSS, OWASP等のガイドライン要件に遵守したい。

プレミアム

個別相談

極めて高い安全性を
確保したい場合に

ツール診断
手動診断
報告書
報告会
再診断
こんな方におすすめ
  • 金融システム等、極めて高い安全性を実現したい。
  • ソースコード診断を含む手動診断で徹底的に評価したい。

「最適なプランがわからない」「概算金額が知りたい」など、
よろしければお気軽にご相談ください!

まずは無料相談をしてみる

ネオセキュリティ
Webアプリケーション診断診断のながれ

▼プロジェクト開始前

Step1

お問い合わせ

Webアプリケーション診断をご希望される場合は、まずはお問い合わせフォームより
お問い合わせください。

Step2

ヒアリング

診断対象のリクエスト数(またはURL/画面数)や、診断要件をヒアリングさせていただきます。

ヒアリング事項の例
  • 納期スケジュール感
  • 対象リクエスト一覧
  • ガイドライン準拠等の診断要件
  • リモート診断可否 等

Step3

お見積&ご契約

ヒアリング後、お客様に最適な診断プラン、お見積をご提案させていただきます。
ご提案内容の合意後、各種契約を締結し、プロジェクトを開始します。

▼プロジェクト開始後

Step4

実施計画策定

プロジェクト開始後、お客様とディスカッションしながら、診断日時、対象、実施環境等をまとめて診断実施計画を策定いたします。

Step5

診断実施

弊社テスターにより、診断を実施いたします。
診断中、重大な脆弱性が発見された場合には、速やかにご連絡いたします。

Step6

報告書作成

診断結果詳細をまとめた報告書を作成いたします。

Step7

報告会

診断結果に関するご報告会を開催し、発見した脆弱性に対する詳細な説明を行い、改善策について助言いたします。

Step8

アフターフォロー

報告会から3カ月間は、報告書に関するQ&Aや、脆弱性の改善策に対するご相談が可能です。
また、オプションとして再診断のご提供も可能ですので、ご希望がある場合にはご相談ください。

診断対応項目

ネオセキュリティのWebアプリケーション脆弱性診断サービスでは、
おもに下記診断項目の診断を行っています。

入出力処理に関する脆弱性

  • SQLインジェクション
  • クロスサイトスクリプティング
  • OSコマンドインジェクション
  • LDAPインジェクション
  • HTTPヘッダインジェクション
  • メールヘッダインジェクション
  • XMLインジェクション
  • SSIインジェクション
  • 任意ファイルのアップロード
  • オープンリダイレクト
  • バッファオーバーフロー
  • ファイルインクルージョン
  • ディレクトリトラバーサル
  • 安全でないデシリアライゼーション

認証に関する脆弱性

  • 認証バイパス
  • セッションハイジャック
  • パスワードポリシーの強度
  • 多要素認証の有無
  • セッションタイムアウトの適切性
  • アカウントロック機能の不備
  • ログアウト機能の不備

認可に関する脆弱性

  • ユーザ識別の欠如
  • セッションIDの推測
  • セッションIDの盗用
  • セッションIDの固定化
  • 暗号化されていない機密情報の窃取
  • クロスサイトリクエストフォージェリ

情報漏洩に関する脆弱性

  • バージョン情報の漏洩
  • ディレクトリリスティング
  • HTML中のコメント
  • クレジットカード番号の表示
  • パスワードの出力
  • ディレクトリトラバーサル
  • 強制ブラウジング
  • バックアップファイルの検出

ビジネスロジックに関する脆弱性

  • 機能の悪用
  • 機密情報を含むURL
  • 不適切な実行プロセス
  • サービス停止
  • レースコンディション

よくある質問

  • 本番環境でも診断可能ですか?

    可能です。
    弊社では本番システムへの影響が出るようなスキャンや攻撃活動は原則行いません。

  • OWASP TOP10には対応していますか?

    対応しています。
    その他のガイドライン要件等も柔軟に対応可能ですので、適宜ご相談下さい。

  • 対象リクエストの選定は可能ですか?

    可能です。
    必要に応じて、弊社テスターにより事前クローリング調査を実施したうえで、対象リクエストを選定させていただきます。

お気軽にご相談・お問い合わせください!

「どんな診断を受けたら良いかわからない」など、
初歩的なご質問にもお答えします!
セキュリティに関するお悩み・ご心配があれば、お気軽にご連絡ください。

PDF資料をダウンロード

まずは無料相談をしてみる

脆弱性診断サービス 一覧ページへもどる

お問い合わせ・ご相談

Contact Us

セキュリティのことならお気軽にご相談ください。お見積もり依頼も可能です。取材等に関するご相談もフォームにて受付しております。

メールで見積もり・
相談する